Odkryto krytyczną lukę wtyczki LiteSpeed Cache dla WordPress
Badacze cyberbezpieczeństwa ujawnili krytyczną lukę wtyczki LiteSpeed Cache dla WordPress, która może umożliwić nieuwierzytelnionym użytkownikom uzyskanie uprawnień administratora.
„Wtyczka jest podatna na luki umożliwiające eskalację uprawnienia nieuwierzytelnionych użytkowników, co pozwala każdemu nieuwierzytelnionemu odwiedzającemu uzyskać dostęp Administratora, po czym mogą zostać przesłane i zainstalowane złośliwe wtyczki” – powiedział Rafie Muhammad z Patchstack w swoim raporcie z środy.
Podatność, oznaczona jako CVE-2024-28000 (wskaźnik CVSS: 9.8), została łatana w wersji 6.4 wtyczki wydanej 13 sierpnia 2024 roku. Dotyczy wszystkich wersji wtyczki, w tym i wcześniejszych niż 6.3.0.1.
LiteSpeed Cache to jedna z najczęściej używanych wtyczek do buforowania na WordPress, z ponad pięcioma milionami aktywnych instalacji.
Podsumowując, CVE-2024-28000 umożliwia nieuwierzytelnionemu atakującemu podszywanie się pod swoje ID użytkownika i rejestrację jako użytkownik na poziomie administratora, efektywnie nadając mu uprawnienia do przejęcia podatnej witryny WordPress.
Podatność wynika z funkcji symulacji użytkownika w wtyczce, która używa słabej funkcji skrótu, która cierpi na użycie łatwo przewidywalnej losowej liczby jako ziarna.
Konkretnie istnieje tylko milion możliwych wartości dla funkcji skrótu dzięki temu, że generator losowych liczb pochodzi z części mikrosekund aktualnego czasu. Co więcej, generator losowych liczb nie jest kryptograficznie bezpieczny, a wygenerowany skrót nie jest solony ani powiązany z konkretnym żądaniem lub użytkownikiem.
„Jest to spowodowane tym, że wtyczka nie ogranicza poprawnie funkcjonalności symulacji roli, umożliwiając użytkownikowi ustawienie swojego bieżącego identyfikatora na identyfikator administratora, jeśli ma dostęp do ważnego skrótu, który można znaleźć w dziennikach debugowania lub poprzez próby siłowe” – powiedział Wordfence w swoim alercie.
„To umożliwia nieuwierzytelnionym atakującym podszywanie się pod swoje ID użytkownika jako administratora, a następnie tworzenie nowego konta użytkownika z rolą administratora przy użyciu punktu końcowego /wp-json/wp/v2/userek REST API.”
Warto zauważyć, że podatność nie może zostać wykorzystana na instalacjach WordPress działających na systemie Windows z powodu wykorzystania funkcji generującej skrót, która opiera się na PHP metodzie o nazwie sys_getloadavg(), która nie jest zaimplementowana w systemie Windows.
„Ta podatność podkreśla kluczowe znaczenie zapewnienia siły i nieprzewidywalności wartości używanych jako skróty bezpieczeństwa lub nonce” – powiedział Muhammad.
Zważywszy na wcześniej ujawnioną podatność wtyczki LiteSpeed Cache (CVE-2023-40000, ocena CVSS: 8.3), wykorzystywaną przez złośliwych aktorów, użytkownicy muszą szybko zaktualizować swoje instancje do najnowszej wersji.